İpucu: WCE'den Kaçınma Yöntemi

WCE'den Kaçınma Yöntemi

Ön Araştırma
Microsoft'a göre bilgisayarlarda, LM saklanmaması için yapılacak 4 temel yöntem varmış:

• Network security: Do not store LAN Manager hash value on next password change --> Enable olmalı.
• Network security: LAN Manager authentication level --> Send NTLMv2 response only\refuse LM & NTLM olmalı.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash --> 1 olmalı.
• Parola uzunluğu 14 karakterden daha uzun olmalı.

Kaynak site:
http://support.microsoft.com/kb/299656

Kıssa
Bir bilgisayarda (W7 Enterprise, SP1) bu ayarlamalar yapıldı:

Daha sonra aşağıdaki 3 senaryo denendi:

• Parola uzunluğu 9 karakter olarak ayarlandı. WCE ile bu parola (Deneme123) açık olarak elde edilebildi:

• Parola uzunluğu 19 karakter olarak ayarlandı. WCE ile bu parola (Deneme123Deneme123!) açık olarak elde edilebildi:

• Parola uzunluğu 10 karakter (14 veya daha kısa) olarak ayarlandı. Parola oluşturulurken ALT tuşu ile kombinasyon oluşturulacak şekilde karakter de kullanıldı. WCE ile bu parola (Deneme123€) açık olarak elde edilemedi:

Kaynak site:
http://computer-forensics.sans.org/blog/2012/02/29/protecting-privileged-domain-accounts-lm-hashes-the-good-the-bad-and-the-ugly

Mimikatz
Aynı parola mimikatz ile kısmen yakalanabilmektedir:

Not: Eğer Windows komut satırı aracının font'u Lucida Console olarak ayarlanırsa, özel karakterler de düzgün olarak görüntülenebilir.

Hisse
WCE tarafından yakalanmamak için, ALT tuşu ile kombinasyon oluşturan parolalar kullanılmalıdır. Mimikatz tarafından yakalanmamak için ALT tuşu ile kombinasyon oluşturan farklı karakterler kullanılabilir. Bu karakterlerden bazıları şunlardır: '£', '%', '¨¨', '€', 'æ', 'ß', '´´'

ALT tuşu ile kombinasyon oluşturan sayı listesi aşağıdaki gibidir:
http://tlt.its.psu.edu/suggestions/international/accents/codealt.html

ALT tuşu ile kombinasyon oluşturan sayıların kullanımı aşağıdaki gibidir:
http://www.youtube.com/watch?v=5SPlCJ3rwME